La revisión de ISO/IEC 27001:2022 reorganizó por completo su Anexo A. Donde antes había 114 controles distribuidos en 14 dominios, ahora hay 93 controles repartidos en solo 4 grupos. No es un cambio cosmético: la nueva estructura es más sencilla de mantener y, sobre todo, hace explícitos 11 controles nuevos que no existían en la versión anterior.

Qué es el Anexo A

El Anexo A es el catálogo de controles de referencia que acompaña a la norma. No es un conjunto de requisitos a cumplir tal cual: es el punto de partida para tu Declaración de Aplicabilidad (SoA), el documento donde decides qué controles aplicas, cuáles no y por qué.

Cada control está desarrollado con detalle en la norma asociada ISO/IEC 27002:2022, que explica cómo implementarlo en la práctica. Si tienes la 27001, la 27002 es su compañera indispensable.

La nueva estructura: 4 grupos en lugar de 14 dominios

La versión 2022 reorganiza los controles en cuatro grupos:

  • Controles organizativos (A.5): 37 controles
  • Controles de personas (A.6): 8 controles
  • Controles físicos (A.7): 14 controles
  • Controles tecnológicos (A.8): 34 controles

En total 93, frente a los 114 anteriores. La reducción no viene de eliminar controles por completo, sino de fusionar varios que abordaban temas muy próximos.

A.5: Controles organizativos (37)

Es el grupo más amplio. Cubre políticas, roles y responsabilidades, gestión de relaciones con proveedores, continuidad, cumplimiento y, en general, todo lo que tiene que ver con la gobernanza del sistema de gestión. Incluye aspectos clave como la política general de seguridad, la clasificación de la información, la gestión de incidentes y las obligaciones contractuales con terceros.

A.6: Controles de personas (8)

El grupo más pequeño, pero uno de los más relevantes. Aborda selección de personal, términos de contratación, concienciación, formación, disciplina, confidencialidad, responsabilidades al terminar el contrato y el teletrabajo. Refleja que la seguridad sigue siendo, en gran parte, una cuestión de personas.

A.7: Controles físicos (14)

Protección de las oficinas, centros de datos, equipos y soportes. Incluye perímetros físicos, control de acceso, trabajo en áreas seguras, seguridad del cableado, ubicación de equipos y eliminación segura de soportes. Sigue siendo imprescindible aunque tu infraestructura principal esté en la nube, porque los puestos de trabajo y los dispositivos siguen siendo físicos.

A.8: Controles tecnológicos (34)

El grupo más extenso en controles técnicos. Agrupa gestión de accesos, criptografía, seguridad de las redes, gestión de vulnerabilidades, registros, continuidad de TIC, uso de servicios cloud, seguridad en el desarrollo y en la cadena de suministro de software, entre muchos otros.

Si tu equipo es técnico, casi todo el esfuerzo del proyecto ISO 27001 se concentrará en A.8. El grupo organizativo (A.5) se resuelve con documentación bien construida; el técnico hay que demostrarlo con evidencias reales.

Los 11 controles nuevos de 2022

La versión 2022 introdujo 11 controles que no existían en la edición de 2013. Son los que marcan el pulso actual del sector:

  • A.5.7 Threat intelligence: recopilar y analizar información de amenazas
  • A.5.23 Information security for use of cloud services: seguridad específica del uso de cloud
  • A.5.30 ICT readiness for business continuity: preparación TIC para continuidad
  • A.7.4 Physical security monitoring: monitorización física de instalaciones
  • A.8.9 Configuration management: gestión de configuraciones
  • A.8.10 Information deletion: borrado seguro de información
  • A.8.11 Data masking: ofuscación de datos
  • A.8.12 Data leakage prevention: prevención de fugas de datos (DLP)
  • A.8.16 Monitoring activities: monitorización de actividades
  • A.8.23 Web filtering: filtrado de navegación web
  • A.8.28 Secure coding: prácticas de desarrollo seguro

Atributos: la otra gran novedad

Cada control incorpora ahora cinco atributos que sirven para filtrar, priorizar y reportar: tipo de control (preventivo, detectivo, correctivo), propiedades de seguridad (confidencialidad, integridad, disponibilidad), conceptos de ciberseguridad (identificar, proteger, detectar, responder, recuperar), capacidades operativas y dominios de seguridad.

Estos atributos no son obligatorios, pero facilitan muchísimo el trabajo de los equipos de seguridad y la comunicación con dirección. Permiten, por ejemplo, sacar un listado de todos los controles "detectivos" que afectan a la disponibilidad para priorizar la respuesta ante un riesgo concreto.

Cómo aplicar el Anexo A en tu SGSI

Hay una tentación frecuente de intentar implementar los 93 controles desde el primer día. No es lo recomendable. El enfoque correcto es:

  1. Realizar un análisis de riesgos que identifique qué proteger y por qué
  2. A partir de los riesgos, seleccionar los controles del Anexo A que los mitigan
  3. Documentar en la Declaración de Aplicabilidad la justificación de inclusión o exclusión de cada control
  4. Implementar los controles seleccionados con evidencia demostrable
  5. Revisar la aplicabilidad al menos una vez al año o cuando cambien los riesgos

El Anexo A es una referencia, no un check-list. Forzar la aplicación de controles sin relación con tus riesgos reales genera burocracia sin aumentar la seguridad.

Migración desde ISO 27001:2013

Si tu SGSI sigue certificado en la versión 2013, tienes que migrar a la 2022. Los organismos certificadores dieron un período de transición que finaliza en 2025. En la práctica, la migración implica revisar la SoA para adaptarla a la nueva estructura, documentar los 11 controles nuevos y preparar la evidencia de su implementación. Con un SGSI maduro, el esfuerzo suele ser menor del que se teme.

¿Necesitas ayuda con la implementación del Anexo A?

Desde el diagnóstico hasta la auditoría de certificación, te acompañamos en todo el proceso. Consulta gratuita para evaluar tu situación actual y el camino más corto hacia la certificación.

Solicitar consulta gratuita →